Les chercheurs, cyber-remparts des infrastructures critiques

, ,
Les chercheurs, cyber-remparts des infrastructures critiques, critical infrastructures, cyber protection

La cyberprotection d’une centrale nucléaire ou d’une banque ne s’envisage pas comme celle de n’importe quelle structure. Frédéric Cuppens est chercheur à IMT Atlantique et porteur de la chaire Cybersécurité des infrastructures critiques. Il détaille pour nous ses travaux dans la protection des opérateurs dont le bon fonctionnement est primordial pour notre pays. Sa chaire est officiellement inaugurée le 11 janvier 2017, renforçant ainsi la recherche à l’état de l’art en matière de cyberdéfense.

 

La chaire de l’IMT que vous portez s’intéresse à la cybersécurité des infrastructures critiques. Quel type d’infrastructure considère-t-on comme critique ?

Frédéric Cuppens : Il s’agit d’infrastructures qui assurent le bon fonctionnement du pays. Si elles sont attaquées, leur défaillance pourrait mettre en danger des populations ou gravement nuire à l’exécution de services essentiels aux citoyens. Les domaines concernés par les activités des opérateurs de ces infrastructures sont variés. Les partenaires industriels de notre chaire illustrent cette diversité puisque nous comptons des acteurs de la production et de la distribution d’énergie — EDF ; des télécommunications — Orange, Nokia ; de la défense — Airbus Defence and Space. Et puis il y a des secteurs peut-être moins évidents au premier abord mais qui sont tout aussi important comme les banques etla logistique, et nous travaillons pour cela avec la Société Générale, BNP Paribas et La Poste[1].

À lire également sur I’MTech : Société Générale, nouveau partenaire de la chaire Cybersécurité de l’IMT

 

La chaire Cybersécurité des infrastructures critiques est jeune, mais ces opérateurs n’ont pas attendu pour protéger leurs systèmes informatiques. Pourquoi font-ils appel aux chercheurs aujourd’hui ?

FC : Ce qui est nouveau, c’est que de plus en plus d’automates et de capteurs se retrouvent connectés à internet dans ces infrastructures. Cela augmente la vulnérabilité des systèmes informatiques et la gravité des impacts possibles. Jusqu’à présent, attaquer ces systèmes pouvait faire planter les services internes, ou ralentir un peu la production. Mais désormais le risque c’est d’induire des défaillances majeures qui peuvent conduire à la mise en danger de vies humaines.

 

Concrètement, comment cela peut-il arriver ?

FC : Comme les automates sont connectés, un attaquant pourrait tout à fait prendre le contrôle d’un robot qui tient un objet, et lui ordonner de le lâcher sur quelqu’un. Le risque est encore plus grand si l’automate manipule des produits chimiques explosifs. Un autre exemple est une attaque sur un système de supervision : l’intrus pourrait voir tout ce qui se passe et envoyer de fausses informations. Lorsque les deux exemples sont combinés, on se rend compte que le risque induit est très important : l’attaquant pourrait prendre le contrôle de ce qu’il veut, et en plus rendre impossible la réaction du personnel en empêchant la supervision.

 

Comment expliquer la vulnérabilité de ces systèmes ?

FC : Les infrastructures historiques, comme celles dont il est ici question, ont informatisé leurs systèmes il y a déjà bien longtemps. À ce moment, ils étaient isolés d’un point de vue informatique : ils n’étaient pas conçus pour être connectés. Les questions de sécurité doivent donc être mises à jour. Encore aujourd’hui, des caméras ou des automates peuvent présenter des vulnérabilités car leurs fonctions premières sont de filmer et de manipuler des objets, pas forcément d’être résistant à toutes les attaques possibles. C’est pour cela que notre rôle est avant tout de détecter et comprendre les vulnérabilités de ces outils selon leurs cas d’utilisation.

 

Les cas d’usage ont une importance pour la sécurité d’un même système ?

FC : Bien sûr, et mesurer l’impact d’une attaque selon l’environnement d’un système informatique est le cœur de notre deuxième axe de recherche. Nous développons des métriques adaptées pour identifier les conséquences directes ou potentielles d’une attaque. Il est clair que ces métriques auront des valeurs différentes selon qu’un automate attaqué soit présent sur un bateau militaire ou dans une centrale nucléaire.

 

Dans ce cas, vos travaux avec chaque partenaire sont-ils reproductibles pour la protection d’autres infrastructures similaires, ou sont-ils spécifiques au cas d’étude ?

FC : Le nombre de constructeurs d’automates pour des applications critiques est limité : il doit y avoir 4 à 5 grands fournisseurs dans le monde. Certes, les cas d’usages changent l’impact des intrusions, mais les vulnérabilités restent les mêmes. Une part de ce que nous faisons est donc bien sûr reproductible. En revanche, sur la mesure d’impact nous devons faire du spécifique. C’est d’ailleurs la ligne des donneurs d’ordre dans la recherche. Les projets des programmes Investissements d’avenir à l’échelle nationale et H2020 pour l’Europe nous encouragent fortement à travailler sur des cas d’usage spécifiques. Ceci dit, nous arrivons quand même à lancer des sujets qui ne sont pas liés à un cas d’usage, mais qui sont plus globaux.

 

Dans les nouveaux sujets que la chaire compte lancer justement, il y a notamment un projet appelé Cybercop 3D pour la visualisation 3D des attaques. C’est assez curieux comme concept au premier abord.

FC : L’idée derrière est d’améliorer les outils de supervision. Actuellement, cela ressemble à un tableur avec des lignes de couleurs différentes pour faciliter la visualisation des données sur l’état du système informatique. Avec la 3D, nous pourrions donner à un informaticien les moyens de voir en temps réel une modélisation des lieux où se passent les intrusions, et une meilleure visibilité des corrélations entre les évènements. Cela permettrait également de mieux comprendre les scénarios d’attaque, qui se présentent pour le moment comme des arborescences en 2D et deviennent rapidement illisibles. La 3D pourrait augmenter cette lisibilité.

 

L’enjeu c’est donc d’améliorer l’expérience de l’humain dans les mesures prises contre les attaques. Quelle est l’importance de ce facteur humain justement ?

FC : Il est essentiel. Nous comptons d’ailleurs lancer un sujet dessus, en embauchant un chercheur spécialisé dans la psychologie qualitative. Ce sera un sujet d’étude transverse, mais surtout complémentaire de notre troisième axe, qui développe des outils d’aide à la décision pour conseiller au mieux les personnes chargées de déployer des contremesures en cas d’attaque. L’objectif c’est de voir si d’un point de vue psychologique, ce que l’outil d’aide à la décision propose à l’humain va être correctement interprété. C’est important car nous sommes dans un environnement où le personnel a l’habitude de gérer des défaillances accidentelles, et ne réagit pas forcément en se disant qu’il fait face à une cyberattaque. Il faut donc valider que lorsque le système d’aide à la décision propose quelque chose, ce soit correctement compris. C’est d’autant plus primordial que les opérateurs des systèmes critiques ne sont pas dans une logique d’automatisation. C’est encore l’humain qui garde le contrôle de ce qu’il se passe.

 

[1] En plus des opérateurs d’infrastructures critiques cités, la chaire compte également dans ses partenaires Amossys, une société spécialisée dans l’expertise en cybersécurité. Ces composantes sont complétées par des partenaires institutionnels avec la région Bretagne et le FEDER, la Fondation Télécom et les écoles de l’IMT : IMT Atlantique, Télécom ParisTech et Télécom SudParis.

 

Pour aller plus loin sur la cyberprotection des infrastructures critiques :

Cybersécurité : la recherche prend les devants

 

[divider style= »normal » top= »20″ bottom= »20″]

Une leçon inaugurale tout en démonstration

Le 11 janvier 2017 a lieu la leçon inaugurale de la chaire Cybersécurité des infrastructures critiques, lancée il y a un an dans la dynamique du pôle d’excellence Cyber. Elle est présentée par Simon Foley, nouveau directeur de recherche de la chaire venant de l’université de Cork en Irlande.

C’est l’occasion pour les chercheurs de procéder à des démonstrations des cas d’attaque possibles, impactant à la fois les infrastructures critiques et leur système de supervision. Ils démontreront ainsi les vulnérabilités nouvelles apportées par la connexion croissante des objets, et les nouveaux modes de défense assurant la résilience des infrastructures.

 

[divider style= »normal » top= »20″ bottom= »20″]

Vous aimerez peut-être aussi
La cyberdéfense veut reprendre l’initiative
Waldeck, IMT Atlantique, Aide à la décisionRoger Waldeck publie « Méthodologie d’aide à la décision : modélisation, évaluation, décision »
réseau de chaleur, heating networksAméliorer la performance des réseaux de chaleur grâce à la modélisation
Internet des objetsUn protocole standardisé pour répondre aux enjeux de l’IoT
chaires en IAIA : deux nouvelles chaires dans les domaines de la surveillance des océans et de la santé
One Wave, farmerlabs, Predictice et MOBiDYS reçoivent un prêt d’honneur
Enquêter dans le nucléaire
Projet MEDUSA : développer les technologies numériques pour améliorer la qualité du diagnostic et la prise de décision médicale à distance
7 réponses

Trackbacks (rétroliens) & Pingbacks

  1. Quand les organisations répondent aux cyberattaques - I'MTech dit :
    23 janvier 2019 à 11:08

    […] Cuppens, chercheur en cybersécurité sur ce projet à IMT Atlantique et coordinateur de la chaire Cybersécurité des infrastructures critiques, nous détaille les défenses à l’état de l’art pour répondre à ces […]

  2. L’IMT affiche son expertise académique en cybersécurité au FIC 2019 - I'MTech dit :
    22 janvier 2019 à 11:00

    […] en janvier 2016 et après 3 années de fonctionnement, la Chaire dédiée à la Cybersécurité des Infrastructures Critiques (Cyber CNI) est renouvelée pour une période équivalente grâce à l’engagement de ses partenaires […]

  3. Cybersécurité : nouveaux temps, nouveaux enjeux dit :
    4 juin 2018 à 14:36

    […] Cybersécurité des infrastructures critiques […]

  4. La cyberdéfense veut reprendre l’initiative dit :
    1 juin 2018 à 10:26

    […] Cette dernière éventualité ne peut pas être oubliée. « Historiquement, les chercheurs se sont rapidement rendu compte qu’ils n’arriveraient pas à empêcher toutes les attaques » rappelle Hervé Debar, chercheur en cybersécurité à Télécom SudParis. Du point de vue technique, « il est impossible de prévoir tous les chemins d’attaque possibles » insiste-t-il. Et sur le plan économique et organisationnel, bloquer toutes les portes de manière préventive ou en cas d’agression rend les systèmes inutilisables. Ainsi, il est souvent plus avantageux d’accepter de subir une attaque, d’y faire face et d’y mettre une fin, que de vouloir s’en prévenir absolument. Hervé Debar et Frédéric Cuppens, membres de la chaire Cybersécurité des infrastructures critiques de l’IMT (voir encadré en fin d’article), connaissent bien cet arbitrage. Pour des centrales nucléaires par exemple, il est inenvisageable de tout couper le temps de parer une menace. […]

  5. L'IMT présent au grand rendez-vous annuel de la cybersécurité - I'MTech dit :
    22 janvier 2018 à 16:05

    […] Les chercheurs, cyber-remparts des infrastructures critiques […]

  6. Entrons-nous dans une nouvelle ère de la cyber sécurité ? dit :
    30 octobre 2017 à 11:40

    […] Les chercheurs, cyber-remparts des infrastructures critiques […]

  7. Frédéric Cuppens - I'MTech dit :
    7 août 2017 à 15:36

    […] Les chercheurs, cyber-remparts des infrastructures critiques […]

Laisser un commentaire

Rejoindre la discussion?
N’hésitez pas à contribuer !

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *